Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À propos des critères CIS
Le Center for Internet Security est une entité à but non lucratif dont la mission est « d’identifier, de développer, de valider, de promouvoir et de maintenir les meilleures pratiques en matière de cyberdéfense ». Il s’appuie sur l’expertise des professionnels de la cybersécurité et de l’informatique du secteur public, des entreprises et du monde universitaire du monde entier. Pour développer les normes et des pratiques recommandées, notamment les critères, les contrôles et les images renforcées de CIS, ils suivent un modèle décisionnel de consensus.
Les critères CIS sont des références de configuration et des pratiques recommandées pour configurer un système de façon sécurisée. Chacune des recommandations d’aide fait référence à un ou plusieurs contrôles CIS qui aident les organisations à améliorer leurs fonctionnalités de cyberdéfense. Les contrôles CIS sont mis en correspondance avec de nombreuses normes et structures réglementaires établies, notamment la Cyber-sécurité Framework NIST (CSF) et le NIST SP 800-53, la série de normes ISO 27000, PCI DSS, HIPAA, etc.
Chaque critère subit deux phases d’examen du consensus. La première phase se produit lors du développement initial lorsque les experts se réunissent pour discuter, créer et tester des projets de travail jusqu’à ce qu’ils parviennent à un consensus sur le point de référence. Au cours de la deuxième phase, après la publication du benchmark, l’équipe de consensus examine les commentaires de la communauté Internet pour les incorporer dans le benchmark.
Les critères CIS fournissent deux niveaux de paramètres de sécurité :
- Le niveau 1 recommande les exigences de sécurité de base essentielles que vous pouvez configurer sur n’importe quel système et qui doivent entraîner peu ou pas d’interruption du service ou une réduction des fonctionnalités.
- Leniveau 2 recommande des paramètres de sécurité pour les environnements nécessitant une sécurité accrue qui pourraient entraîner un fonctionnement réduit.
Les images renforcées de CIS sont des images de machines virtuelles configurées de façon sécurisée en se basant sur les critères CIS renforcés au niveau 1 ou niveau 2 du profil CIS. Le renforcement est un processus qui permet de se protéger contre l’accès non autorisé, le déni de service et d’autres cybermenaces en limitant les faiblesses potentielles qui rendent les systèmes vulnérables aux cyberattaques.
Microsoft et les critères CIS
Le Center for Internet Security (CIS) publie des benchmarks pour les produits et services Microsoft, notamment microsoft Azure et Microsoft 365 Foundations Benchmarks, le benchmark Windows 11 et le benchmark Windows Server 2022. Le benchmark CIS Microsoft Azure Foundations s’adresse aux clients qui prévoient de développer, déployer, évaluer ou sécuriser des solutions qui intègrent des Azure. Le document fournit des instructions prescriptives pour l’établissement d’une configuration de base de référence sécurisée pour Azure.
Les critères CIS sont reconnus au niveau international comme normes de sécurité pour la protection des systèmes informatiques et des données contre les cyberattaques. Des milliers d’entreprises les utilisent pour obtenir des conseils normatifs pour établir une configuration de base de référence sécurisée. Les administrateurs système et application, les spécialistes de la sécurité et autres personnes qui développent des solutions à l’aide de produits et de services Microsoft peuvent utiliser ces pratiques recommandées pour évaluer et améliorer la sécurité de leurs applications.
Comme tous les benchmarks CIS, les benchmarks Microsoft ont été créés par le biais d’un processus d’examen de consensus basé sur les commentaires d’experts en la matière avec des antécédents variés couvrant le développement de logiciels, l’audit et la conformité, la recherche en sécurité, les opérations, le gouvernement et le droit. Microsoft s’est entièrement associé à CIS dans ses efforts. Par exemple, Microsoft 365 a été testé par rapport aux services répertoriés, et le benchmark Microsoft 365 Foundations qui en résulte couvre un large éventail de recommandations pour définir des stratégies de sécurité appropriées qui couvrent les comptes et l’authentification, la gestion des données, les autorisations d’application, le stockage et d’autres domaines de stratégie de sécurité.
En plus des points de référence pour les produits et services Microsoft, CIS a publié des Images CIS renforcés sur Azure configurés pour répondre aux critères CIS et disponibles à partir de la Place de marché Microsoft Azure. Ces images incluent les images renforcées CIS pour Windows Server 2019 et Windows Server 2022, ainsi que de nombreuses versions de Linux. Toutes les images CIS renforcés qui sont disponibles sur la Place de marché Azure sont certifiées pour s’exécuter sur Microsoft Azure. Comme indiqué par CIS, « ils sont prétestés pour la préparation et la compatibilité avec le cloud public Microsoft Azure, la plateforme cloud Microsoft hébergée par les fournisseurs de services via le réseau de système d’exploitation cloud et le cloud privé local Windows Server les déploiements Hyper-V gérés par les clients ».
Les images renforcées de CIS sont des images de machines virtuelles configurées de façon sécurisée en se basant sur les critères CIS renforcés au niveau 1 ou niveau 2 du profil de point de référence CIS. Le renforcement est un processus qui permet de se protéger contre l’accès non autorisé, le déni de service et d’autres cybermenaces en limitant les faiblesses potentielles qui rendent les systèmes vulnérables aux cyberattaques. Les images CIS renforcés sont disponibles sur Azure et Azure Government.
Pour obtenir une assistance supplémentaire, Microsoft fournit Azure Blueprints, qui est un service qui vous permet de déployer et de mettre à jour des environnements cloud de manière reproductible à l’aide d’artefacts composables tels que des modèles Azure Resource Manager pour provisionner des ressources, des contrôles d’accès en fonction du rôle et des stratégies. Les ressources approvisionnées via Azure Blueprints respectent les normes, les modèles et les exigences de conformité d’une organisation. L’objectif global d’Azure Blueprints est d’automatiser la gestion des risques de conformité et de cybersécurité dans les environnements cloud. Pour vous aider à déployer un ensemble de stratégies de base pour toute architecture Azure qui doit implémenter des recommandations de référence de base CIS Azure, Microsoft a publié le Azure Blueprint pour les points de référence CIS Microsoft Azure. En cas d’affectation à une architecture, Azure Policy évalue la conformité des ressources aux définitions de stratégie attribuées.
Plateformes et services cloud microsoft dans l’étendue
- Azure et Azure Government
- Microsoft Office et Microsoft 365
- SQL Server
- Windows 11
- Windows Server 2022
Audits, rapports et certificats
Obtenez une liste complète des critères CIS pour les produits et services Microsoft.
- Critère de base CIS d’Azure
- Critère de base CIS de Microsoft 365
- Windows 11 Benchmark
- Benchmark Windows Server 2022
Modalités de mise en œuvre
- Critères CIS pour Azure : obtenir une aide normative pour établir une configuration de base sécurisée pour Azure.
- Plan stratégique de sécurité Microsoft 365 : réduire le risque d’une violation de données ou de compte compromis en suivant ce plan.
- Lignes de base de la sécurité Windows : suivre ces instructions pour une utilisation efficace des lignes de base de sécurité au sein de votre organisation.
- Guide du compagnon cloud CIS Controls : obtenir des conseils sur l’application des meilleures pratiques en matière de sécurité dans CIS Controls version 7 vers les environnements Cloud.
Foire aux questions
Est-ce que les paramètres du critère CIS garantissent la sécurité de mes applications ?
Les critères CIS déterminent le niveau de sécurité de base pour les personnes qui adoptent les produits et services Microsoft du champ d’application. Toutefois, ne les considérez pas comme une liste exhaustive de toutes les configurations et architectures de sécurité possibles, mais comme un point de départ. Chaque organisation doit toutefois évaluer sa situation, ses charges de travail et ses exigences de conformité spécifiques et adapter son environnement en conséquence.
Quelle est la fréquence de mise à jour des critères CIS ?
La publication de critères CIS révisés change en fonction de la communauté de professionnels de l’informatique qui les ont développés et du calendrier de publications de la technologie que ces critères prennent en charge. CIS diffuse des rapports mensuels annonçant de nouveaux critères et la mise à jour de critères existants. Pour recevoir ces rapports, inscrivez-vous au CIS Workbench (gratuit) et case activée bulletin d’informations Receive dans votre profil.
Qui a participé au développement des critères CIS de Microsoft ?
CIS note que ses « critères sont développés par le biais de nombreux efforts volontaires d’experts en la matière, de fournisseurs de technologie, de membres privés et publics de la communauté des critères CIS ainsi que de l’équipe de développement du critère CIS ». Vous trouverez par exemple une liste de contributeurs Azure sur CIS Microsoft Azure Foundations benchmarking v RE1.0.0 désormais disponible.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Documentation de conformité Azure
- Offres pour la conformité Microsoft
- Conformité sur le centre de gestion de la confidentialité Microsoft
- CIS Microsoft Azure Foundations Benchmark fournit une liste de contrôle pas à pas pour sécuriser Azure.
- les images renforcées CIS sur Microsoft Azure sont certifiées Azure et préconfigurées aux recommandations de sécurité des benchmarks CIS. Elles sont disponibles sur Azure et Azure Government.
- Azure Blueprint pour CIS Microsoft Azure Foundations Benchmark permet aux clients de déployer un ensemble de stratégies de base pour toute architecture Azure qui doit implémenter des recommandations CIS Azure Foundations Benchmark.
- Le mappage des recommandations d’Azure Policy fournit des détails sur les définitions de stratégie incluses dans le blueprint ci-dessus et sur la façon dont ces définitions de stratégie correspondent aux domaines de conformité et aux contrôles dans CIS Microsoft Azure Foundations Benchmark. En cas d’affectation à une architecture, Azure Policy évalue les ressources en cas de non-conformité avec les définitions de stratégie attribuées.
- CIS Controls Cloud Companion Guide fournit des conseils sur l'application des meilleures pratiques de sécurité dans CIS Controls Version 7 aux environnements cloud.
- CIS Microsoft 365 Foundations Benchmark fournit des instructions prescriptives pour établir une configuration de base de référence sécurisée pour Microsoft 365.
- Windows 11 vue d’ensemble pour les administrateurs
- Documentation sur la sécurité Windows